Mobil bilet satış uygulaması üzerinde çalışıyorum. Sistem, kullanıcıların tüm bilgileri bulutta mutlu bir şekilde oturan sunucuma kaydederek 3. taraf bir api (CardIO) kullanarak ödeme yapmasına izin veriyor.Buluttan ödemeyi doğrulayamıyorsanız, siparişi bulutta güvenli bir şekilde nasıl kaydedersiniz?
sorun şundan kaynaklanıyor: (1) ödeme işlemi telefonda tamamen oluşur ve (2) benim sunucu ödeme aslında oluştu ödeme işlemci ile doğrulamak için izin hiçbir API olmadığından Kullanıcının gerçekten sunucuya veri tabanımdaki ödemeyi işaretlemeden önce ödediğini doğrulamak için nasıl en iyi yol alacağımı merak ediyorum.
Gördüğünüz gibi, bir kullanıcı api çağrılarımı elle izleyebilir, hesabına giriş yapabilir ve ardından bir satın alma işlemini öğe için ödeme yapmadan ödemeyi ücretli olarak işaretlemek üzere sunucuma gönderebilir.
Yani soru şu: nasıl ödeme benim sunucuda yer ya alınmış veya mobil uygulama ile el sıkışma veya şifreleme çeşit yoluyla doğrulayabilirsiniz?
Geçerli yaklaşımım: Sunucuya bir SSL (HTTPS) çağrısı aracılığıyla gereken düz metin bilgisini gönderiyorum. Bununla birlikte, bu dizenin bir karesini gönderiyorum ve gönderdiğim dizenin gönderdiği karma ile eşleştiği sunucumdaki aynı algoritmayı kullanarak doğrularım. Düşünce şu ki, bu karmaşığı oluşturmak için bir çeşit gizli anahtar kullanabilirdim ve daha sonra düz metnin sunucu ucundaki karma ile eşleştiğini ve hiçbir şeyin değişmediğinden emin olduğunu doğrulayabilirdim. Bu çözümle ilgili problemim, gerçekten bu kadar güvenli olduğunu düşünmüyorum ... Birisi, algoritmayı kolayca çözebilir, çünkü şifreleme ve düz metin verilir.
Baktığınız için teşekkürler!
Stephen